Page 109 - Revista de Auditoría Pública
P. 109
Auditoría de sistemas de información. Práctica y desarrollo en la Cámara de Comptos de Navarra
fraude o error, como los controles existentes en el en realizar el seguimiento de una transacción concre-
sistema para mitigar el riesgo de que esto suceda. ta a lo largo de todo el proceso de gestión. Cuando
es posible evitar que ello llegue a tener un impacto
Esta identificación se basa en el conocimiento adqui- negativo efectivo, se puede introducir una transac-
rido sobre la entidad, los procesos de gestión y el SI, ción errónea y comprobar si la incorrección es pre-
por lo que puede presentar grandes diferencias entre venida, detectada o corregida por los controles. En
los distintos trabajos. la misma línea, pueden realizarse comprobaciones
directas sobre si las aplicaciones permiten realizar
Puesto que partimos de un enfoque de auditoría ba- ciertas operaciones, ya sea utilizando los perfiles de
sado en riesgos, esta fase resulta fundamental en la usuario asignados al equipo de auditoría o bien con
auditoría. Constituye el núcleo de la planificación de la colaboración del personal del ente auditado. Es-
la auditoría, por lo que merece la pena invertir tiempo tas pruebas, no obstante, tienen el inconveniente de
y esfuerzo en la misma. Consideramos fundamenta- que se realizan siempre durante el trabajo de campo,
les las reuniones de trabajo del equipo de auditoría por lo que su relevancia en relación con el periodo
en las que se discuten los riesgos y controles con la auditado está condicionada por la posibilidad de que
finalidad de identificarlos, analizarlos y evaluarlos. se hayan efectuado cambios en el SI con posteriori-
dad a la finalización del mismo.
En procesos de gestión o SI complejos, analizar el
proceso en su conjunto es complicado. Resulta útil Cuando los controles están estandarizados y docu-
distinguir distintos subprocesos o subsistemas y ha- mentados, la consulta de los manuales de procedi-
cer un análisis detallado de cada uno de ellos. En miento y de la documentación de los controles apli-
este caso, deberá cuidarse luego de tener una visión cados puede proporcionar evidencia de auditoría al
integrada que tenga en cuenta las interrelaciones en- respecto.
tre los distintos subprocesos y/o subsistemas.
Como resultado de las pruebas, calificamos cada
El resultado de este análisis se presentará en una uno de los controles relevantes como ‘efectivo’, ‘bas-
matriz de riesgos y controles (RyC), en la que se rela- tante efectivo’, ‘poco efectivo’, ‘no efectivo o no im-
cionan los riesgos identificados con los controles es- plantado’ (conforme a la GPF-OCEX 5340) o como
tablecidos para mitigarlos y las pruebas de controles ‘no verificable’. Esta última categoría, no prevista en
que se van a realizar sobre los mismos. las GPF-OCEX, la utilizamos para aquellos controles
sobre cuya implantación y eficacia operativa no ha
La identificación de riesgos y controles, con frecuen- sido posible obtener evidencia adecuada y suficien-
cia conducirá fácilmente al diseño de las pruebas de te. Por ejemplo, cuando se trata de comprobaciones
auditoría a realizar. manuales realizadas por el personal sin dejar cons-
tancia alguna de las mismas.
¡ Pruebas de controles de procesamiento
de información (CPI) ¡ Revisión de coherencia e integridad
de los datos
Una vez identificados los riesgos significativos y los
controles asociados en la matriz de RyC, en esta fase Revisar mediante consultas que los datos son cohe-
se trata de evaluar los CPI en cuanto a su diseño, im- rentes y que se respeta la integridad de los datos,
plantación y funcionamiento. Dada la multitud de con- es decir, que no existen datos que no figuran en las
troles que pueden existir en un SI, la eficiencia en el tablas maestras.
trabajo de auditoría exige centrar las pruebas en los
que se consideren relevantes, que son aquellos que, ¡ Pruebas sustantivas
individualmente o en combinación con otros, permi-
ten reducir el riesgo a un nivel aceptablemente bajo. La ausencia de CGTI y/o CPI o la poca robustez de
los mismos constituye una deficiencia del SI que de-
En todo caso, la evaluación de los CPI tiene sentido berá ponerse de manifiesto en el informe de audito-
únicamente sobre la base de que exista una confian- ría. No obstante, en estos casos procede practicar
za razonable en los CGTI. Por tanto, en principio no pruebas sustantivas para verificar si los riesgos iden-
deberían abordarse las pruebas de CPI sin antes ha- tificados han llegado a materializarse. Puede suceder
ber evaluado los CGTI. que un SI con deficiencias haya producido resultados
válidos, ya sea debido a que no han llegado a mate-
Entre las pruebas habituales, cabe mencionar las rializarse las circunstancias que hubieran dado lugar
pruebas de recorrido o “paso a paso”, que consisten a un impacto negativo o bien, por ejemplo, debido al
109
